三重県、USBメモリー 1万個超のうち47個からマルウェアを検知-37部署に影響、職員私物や外部端末からの混入も判明

インテリジェンス

投稿日時: 更新日時:

三重県、USBメモリー 1万個超のうち47個からマルウェアを検知-37部署に影響、職員私物や外部端末からの混入も判明

三重県は2026年7月7日、県庁および県内の事務所で使用しているUSBメモリーの緊急調査について、結果を公表しました。所有する1万個以上のUSBメモリーのうち47個から、陸上自衛隊の事案と同じマルウェアが検知され、対象は37の部署に及んでいます。混入経路としては、保存されていた迷惑メールに含まれていたケースのほか、外部の端末からの混入も新たに確認されており、検知されたUSBメモリーの中には職員の私物も含まれていたとのことです。

当サイトでは7月4日、三重県が緊急調査を開始し複数部署でマルウェアの検知が相次いでいる段階の内容についてお伝えしていますが、当時はまだ所有数や検知件数、影響部署数のいずれも確定しておらず、調査は継続中という位置づけでした。今回、その結果が示された形になります。

サマリー

  • 三重県は7月7日、6月26日から実施していたUSBメモリーの緊急調査について、結果を公表しました
  • 対象となったのは県庁および県内の事務所が所有する1万個以上のUSBメモリーで、このうち47個からマルウェアが検知されました
  • マルウェアが検知されたUSBメモリーは37の部署にわたって使用されていたものでした
  • 混入経路は、保存されていた迷惑メールに含まれていたケースに加え、外部の端末からの混入も確認されました
  • 検知されたUSBメモリーの一部は、職員の私物であったことが新たに判明しました
  • 三重県は、本稿執筆時点で情報の流出などの被害は確認されていないとしています

整理表

項目 内容
調査主体 三重県
調査期間 2026年6月26日から7月7日(結果公表)
所有するUSBメモリー総数 1万個以上
マルウェアが検知された個数 47個
影響を受けた部署数 37部署
混入経路 保存されていた迷惑メールに含まれていたもの、外部の端末からの混入
新たに判明した事実 検知されたUSBメモリーの一部が職員の私物だった
被害の有無 情報流出などの被害は本稿執筆時点で確認されず
発端となった事案 陸上自衛隊中部方面総監部でのウイルス感染USBメモリー使用問題

37の部署で使用されていた47個のUSBからマルウェア 検知

三重県は、陸上自衛隊中部方面総監部でウイルスに感染したUSBメモリーがおよそ1年間使い続けられていたことが明らかになったのを受け、6月26日から独自の緊急調査に着手していました。7月3日から4日にかけての報道では、県が所有するUSBメモリーは6000個以上とみられ、総務部や地域機関など複数の部署で検知が相次いでいるものの、正確な件数や対象部署数は調査継続中として明らかにされていませんでした。

今回、三重県が公表した結果によると、県庁および県内の事務所で使用しているUSBメモリーは1万個以上にのぼり、このうち37の部署で使用されていた47個からマルウェアが検知されたとのことです。






当初の推定であった6000個超という所有数自体が、実際にはさらに多い1万個以上だったことになります。これだけの数のUSBメモリーを組織として管理しようとすれば、どこかで棚卸しの目が行き届かなくなる部分が出てくるのは、複数の現場を抱えるシステム管理の実務を経験した身としては、正直なところ想像に難くありません。

原因は迷惑メールだけではなかった

これまでの報道では、三重県が2023年度にメールソフトを入れ替えた際、バックアップとして古いデータをUSBメモリー内に保存しており、その迷惑メールに含まれていたマルウェアが今回の調査で検知された可能性が指摘されていました。今回の結果でも、保存された迷惑メールに含まれていたことが原因の一つとして確認されています。

一方で、今回新たに判明したのが、外部の端末からの混入というもう一つの経路です。



これは、県庁内のシステムだけで完結する話ではなく、庁外の端末とUSBメモリーをやり取りする過程で感染が広がった可能性を示しています。迷惑メールという単一の原因で説明できる話ではなくなったという点は、今回の調査で新たに加わった重要な情報です。外部端末との接続実態をどこまで把握できているかという論点は、今後の詳細な検証を待つ必要がありますが、少なくとも原因が一つに絞り込めるものではなかったことは、この時点で明らかになったといえます。

職員の私物USBという新たな統制上の課題

もう一つ見過ごせないのが、検知されたUSBメモリーの一部が職員の私物だったと という点です。

三重県は職員に対し、記憶媒体を使用するたびにウイルスの有無をチェックするよう義務付けていましたが、この運用は組織が貸与・管理するUSBメモリーを前提にしたものだったはずです。私物のUSBメモリーが業務利用の中に紛れ込んでいたとすれば、そもそも管理台帳の対象外にあった機器が、庁内のネットワークやパソコンに接続されていたことになります。

組織が把握しているデバイスの範囲でどれだけ厳格なルールを整備しても、管理台帳に載っていない私物の記憶媒体が業務の現場に持ち込まれてしまえば、そのルールは実質的に機能しませんし、組織外のIT資産はいくら強固なセキュリティ対策を行っていても私物は対象からセキュリティ対策から外れセキュリティホールとなります。

これは陸上自衛隊の事案とも共通する構図です。

調達段階でのウイルスチェックが行われていなかったこと、スキャン対象からUSBメモリーが除外されていたことなど、複数の統制が同時に抜け落ちていたのと同じように、三重県のケースでも私物の持ち込みという盲点が、日常的なチェック体制の外側に存在していたことになります。

情報システム部門への示唆

今回の三重県の事例が示しているのは、記憶媒体の管理は組織が把握しているデバイスの棚卸しだけでは不十分だということです。私物の記憶媒体が業務端末に接続される余地がある限り、どれだけルールを整備してもすり抜けは起こり得ます。私物デバイスの業務利用を明確に禁止したうえで、USBポートの利用制御やデバイス管理ソフトウェアによる許可リストの運用など、ルールを技術的に担保する仕組みを検討する価値があります。

また、外部端末からの混入という経路が確認されたことも踏まえると、庁外とのデータのやり取りが発生する業務プロセスそのものを洗い出し、どの経路でデータや記憶媒体が出入りしているかを可視化しておくことが重要です。USBメモリーの数が数千から1万個規模になる組織では、平時から定期的な棚卸しと一斉スキャンを業務サイクルに組み込んでおくことが、今回のような緊急調査を後手に回さないための現実的な備えになります。

総務省が全国の自治体を対象にUSBメモリーやドローン、ネット接続型監視カメラなどの利用実態調査を検討していることも踏まえ、自組織で保有する周辺機器の全体像を今のうちに整理しておくことをお勧めします。

出典